Teamviewer di nuovo utilizzato a fini illegittimi per distribuire ransomware da remoto.
TeamViewer e i ransomware
Alcuni gruppi ransomware stanno facendo uso di TeamViewer per ottenere l’accesso iniziale su endpoint aziendali, ovviamente allo scopo di distribuire ri propri payload dannosi. In particolare, denunciano i ricercatori di Huntress, è in corso una campagna di questo tipo per la distribuzione di un encryptor basato sul codice, trapelato online, del builder del ransomware Lockbit.
Insomma, siamo di fronte all’ennesimo caso di utilizzo di tool legittimi a finalità illegittime. TeamViewer è un notissimo tool, legittimo, di accesso remoto usato un po’ in tutto il mondo per la sua semplicità e per le estese funzionalità offerte.
L’uso illegittimo di TeamViewer non è, comunque, una novità. Un primo caso simili fu denunciato addirittura nel lontano Marzo 2016: in quel caso TeamViewer venne utilizzato per distribuire un ransomware noto come Surprise (ora non più attivo).
La nuova campagna ransomware che utilizza TeamViewer
Venendo all’attualità, il gruppo di ricercatori di Huntress ha mostrato come gli attaccanti non abbiano affatto abbandonato questa vecchia tecnica, dato che si registrano nuovi tentativi di utilizzo di TeamViewer per distribuire ransomware. In particolare hanno individuato e analizzato due diversi tentativi di accesso agli endpoint di alcuni clienti. Tentativi di accesso riusciti, anche se le soluzioni di sicurezza installate sulle reti bersaglio hanno minimizzato i danni. In entrambi i casi gli attaccanti sono riusciti a criptare soltanto un numero limitato di file su singoli endpoint, senza effettuare (o riuscire a effettuare) movimenti laterali lungo la rete.
Il file di log analizzato (connections_incoming.txt) ha mostrato connessioni dalla stessa fonte in entrambi i casi analizzati. Fatto che indica come i due eventi analizzato siano accomunati dallo stesso attaccante. Uguali, infatti, anche le modalità di attacco: primo accesso tramite TeamViewer quindi tentativo di distribuzione del payload dannoso utilizzando il file batch “PP.bat”.
Il file batch serve, a sua volta, ad eseguire un file DLL (il payload vero e proprio) tramite il comando rundll32.exe
In distribuzione una versione copiata da Lockbit
Le analisi dei ricercatori sull’encryptor distribuito hanno portato a individuare il malware distribuito come una variante, anzi una copia rivista, del ben noto e famigerato ransomware Lockbit. E’ risultato evidente, infatti, come l’encryptor sia molto simile a quello di LockBit creato utilizzando un builder LockBit Black trapelato online.
Come ricorda la redazione di Bleeping Computer infatti, nel 2022, il builder di LockBit 3.0 è finito esposto online e molti gruppi ransomware ne hanno approfittato. Questo builder consente la creazione di differenti versioni dell’encryptor, compreso un eseguibile, una DLL e una DLL criptata che richiede una password per essere eseguita.
Gli IoC diffusi da Huntress indicano che gli attaccanti, ancora non identificati in nessuno dei gruppi ransomware noti, hanno utilizzato la DLL coperta da password di Lockbit 3.0.
Come fanno gli attaccanti a prendere il controllo di TeamViewer?
Da TeamViewer fanno sapere che la maggior parte degli accessi non autorizzati è dovuta all’indebolimento delle impostazioni che il tool offre, in maniera predefinita, agli utenti. Anche l’uso di password deboli o di versioni obsolete del software rappresentano una riduzione delle impostazioni di sicurezza.
Ecco perché l’azienda ha consigliato agli utenti, per proteggersi da utilizzi illegittimi, di utilizzare password complesse, di abilitare l’autenticazione almeno a due fattori e di eseguire regolarmente l’aggiornamento del software all’ultima versione disponibile.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet. - Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come